全國頂尖黑客之一竟是一個AI機器人——彭博社

Xbow創始人Oege de Moor

來源：Xbow

一位名為Xbow的黑客登頂了美國權威安全行業排行榜，該榜單追蹤發現並報告大型企業軟件漏洞最多的人員。Xbow並非真人——它是由同名公司開發的人工智能工具。

據HackerOne聯合創始人Michiel Prins透露，這是首次有公司的人工智能產品憑藉漏洞發現數量及嚴重性評分，在HackerOne美國聲譽榜上奪冠。這家成立一年的初創公司剛完成由Altimeter Capital領投的7500萬美元融資，紅杉資本等現有投資方跟投，但未對外披露估值。

Prins表示，安全研究人員和黑客早已實現部分工作自動化，而AI在過去兩年嶄露頭角成為關鍵工具。如今幾乎所有人類黑客都藉助AI提升效率，還有少數企業正嘗試複製Xbow的模式——Prins稱它們為"黑客機器人公司"。

Xbow由GitHub資深員工Oege de Moor於2024年1月創立，致力於自動化滲透測試——即黑客試圖發現安全漏洞併入侵企業網絡的過程。企業通常會僱傭或組建專業團隊（稱為紅隊）進行此類測試，以加強和保護其網絡及軟件安全。但de Moor表示，紅隊演練和滲透測試成本高昂——單個系統的測試平均需花費1.8萬美元和數週時間——因此往往無法頻繁開展。De Moor希望通過銷售其產品，使客户能夠持續或更頻繁地進行測試，尤其在新產品和系統上線前完成安全檢測。

“通過自動化，我們可以徹底改變這個等式，“曾負責微軟旗下GitHub的AI代碼生成工具Copilot的de Moor説道。

挑戰在於資金充足的黑客同樣利用AI算法自動化攻擊，以更低成本提高攻擊頻率。NFDG的Nat Friedman（前GitHub首席執行官）表示：“Xbow擁有當前可運行的創新技術，這既令人興奮又略帶恐懼，因為我們已進入機器攻擊機器的時代。”

曾在牛津大學擔任計算機科學教授二十年的de Moor預測，隨着Xbow等工具的普及，攻防力量終將向防禦方傾斜。“可能會經歷一段混亂期，並非所有人都能應對這些AI驅動的攻擊，“他表示。如今，“我們首次有望實現防禦方在系統上線前發現並修復所有漏洞。”

德穆爾創立了Semmle，這家專注於代碼安全漏洞檢測的初創公司於2019年被GitHub收購。微軟在前一年收購了GitHub，並任命弗裏德曼為CEO。他希望通過一系列收購來增加新產品和創業人才。

弗裏德曼與Altimeter Capital合夥人阿普爾·阿格拉瓦爾表示，當德穆爾啓動Xbow時，他們正在研究如何提升網絡安全的人工智能應用。“網絡安全正面臨信任危機，警報數量氾濫，“阿格拉瓦爾説。他補充道：“首席信息安全官們需要的是簡化而非增加，他們追求更少的警報。如何實現這一點？人工智能可以提供幫助。”

HackerOne提供安全平台，允許企業通過懸賞計劃邀請外部人員檢測軟件漏洞。這些計劃包括公開項目和僅限邀請項目，Xbow同時參與兩類項目。當Xbow這類AI發現漏洞時，HackerOne要求企業人工審核以排除AI幻覺。隨後Xbow會聯繫存在潛在漏洞產品的公司，經確認後獲得信譽積分——漏洞越嚴重，黑客獲得的積分越高。

據德穆爾透露，Xbow產品已成功發現並報告安全漏洞給包括亞馬遜、華特迪士尼、PayPal和索尼集團等十餘家知名企業。德穆爾未透露當前客户名單，僅表示均為大型金融服務和科技公司。

Xbow的團隊包括GitHub資深人士，如曾在Lyft Inc.擔任首席信息安全官、現任Xbow安全主管的Nico Waisman，以及曾在GitHub和Semmle工作、現任Xbow人工智能負責人的Albert Ziegler。

雖然Xbow的算法在發現常見編碼錯誤和安全問題方面表現優異，但在識別由產品設計邏輯導致的缺陷時表現欠佳。例如，de Moor表示，在檢查醫療網站時，必須明確告知系統處方信息應保密。它無法理解雖然醫生或藥劑師需要能訪問多名患者的處方，但若一名患者能看到他人藥物信息則屬於安全問題。

未來，Xbow還希望增加向客户提供安全漏洞修復方案的功能，併為這些修復措施提供編碼建議。

Altimeter的Agrawal指出，大規模應用還需要客户改變工作方式。

“每當出現足夠先進的技術時，最後一公里的應用都需要改變工作流程，“Agrawal説，“這需要改變人們多年來——有時是幾十年來——的行為習慣。”